Microsoft publiait avant hier soir, hors « Patch Tuesday », un correctif vital contre une vulnérabilité RPC sur Windows 2000, XP, Vista, Server 2003 et Server 2008.
Alexis Grondin, 01net., le 24/10/2008 à 17h15
Le Patch Tuesday est devenu pour l'utilisateur de Windows et des systèmes d'exploitation (OS) serveurs de Microsoft une routine. Tous les deuxièmes mardis du mois, la firme de Redmond publie une série de correctifs pour ces OS et pour ses applications, à charge pour l'usager de les installer selon le niveau de criticité des failles, à partir de Windows Live Update ou manuellement.
Mardi 14 octobre, donc, on pensait savoir à quoi s'en tenir pour le mois en cours, avec une petite dizaine de failles répertoriées et corrigées. Quand soudain, au début de cette semaine, les responsables de la sécurité des systèmes informatiques (RSSI) étaient informés qu'un bulletin portant sur l'existence d'une faille kernell considérée comme importante à critique serait publié dans la nuit du jeudi 23 au vendredi 24 octobre.
Des « exploits » utilisant la faille déjà en circulation
Et depuis hier soir, on sait donc qu'une vulnérabilité Remote Procedure Call (RPC) est présente sur les versions de Windows 2000, XP, Vista, Server 2003 et Server 2008. La faille MS08-067 est exploitable par l'envoi de paquets RPC provoquant des défaillances de code. Sasser, par exemple, était une exploitation d'une telle faille...
« Nous avons publié faille et correctif hors planning, puisque nous avons remarqué qu'un certains nombre d'exploitations de la vulnérabilité étaient sur Internet, explique Bernard Ourghanlian, directeur technologie et sécurité de Microsoft France. Nous avons considéré que le risque pour nos clients était trop grand. » Si le risque est important, la solution est simple. Moyennant la mise à jour du système et le redémarrage des postes, la menace est écartée.
Menace inégale, selon les entreprises. « Le risque n'est pas corrélé à la taille des entreprises. Si l'entreprise possède Vista et Server 2008, elle risque moins d'être affectée. D'abord, parce que la connexion au domaine d'entreprise nécessite une authentification, ce qui n'est pas le cas pour 2000 et XP. Cela rend plus difficile l'attaque d'un pirate extérieur à l'entreprise. Ensuite, Vista possède un dispositif qui évite l'exploitation trop facile de la faille, la place de l'OS dans la mémoire étant déterminée aléatoirement, ce qui donne une chance sur 256 à l'agresseur de tomber sur la bonne adresse », explique Bernard Ourghanlian. Même dans la difficulté, Microsoft tente de sauver le soldat Vista...
Les pirates aiment louvoyer le week-end
Soit pour les attaques extérieures. Mais dans le cas ou un salarié mécontent veut se faire du bien en faisant du mal au SI de son entreprise ? « Dans ce cas-là, à moins d'avoir un pare-feu activé sur chaque poste, qui évite ainsi aux ports 139 et 445 d'être sensibles à l'attaque, il semble difficile de faire quoi que ce soit. Si ce n'est, bien sûr, de patcher le système d'exploitation, qui immunise le système », constate Bernard Ourghanlian.
Qui conseille aux RSSI de mettre à jour leur système ce vendredi soir, puisque « les pirates aiment bien agir le week-end, quand il n'y a personne en entreprise ». Microsoft instaurera peut-être un « Patch Thursday » pour contrer cette tendance...
__________________